Làm cách nào để tắt xác thực CSRF của Django?

Tôi đã nhận xét về bộ xử lý csrf và các dòng phần mềm trung gian trong settings.py:

122 
123 TEMPLATE_CONTEXT_PROCESSORS = (
124     'django.contrib.auth.context_processors.auth',
125 #    'django.core.context_processors.csrf',
126     'django.core.context_processors.request',
127     'django.core.context_processors.static',
128     'cyathea.processors.static',
129 )
130 
131 MIDDLEWARE_CLASSES = (
132     'django.middleware.common.CommonMiddleware',
133     'django.contrib.sessions.middleware.SessionMiddleware',
134 #    'django.middleware.csrf.CsrfViewMiddleware',
135     'django.contrib.auth.middleware.AuthenticationMiddleware',
136     'django.contrib.messages.middleware.MessageMiddleware',
137     'django.middleware.locale.LocaleMiddleware',
138     # Uncomment the next line for simple clickjacking protection:
139     # 'django.middleware.clickjacking.XFrameOptionsMiddleware',
140 )

Nhưng khi tôi sử dụng Ajax để gửi yêu cầu, Django vẫn trả lời 'mã thông báo csrf không chính xác hoặc bị thiếu' và sau khi thêm X-CSRFToken vào tiêu đề, yêu cầu sẽ thành công.

Chuyện gì đang xảy ra ở đây ?

Nếu bạn chỉ cần một số chế độ xem không sử dụng CSRF, bạn có thể sử dụng @csrf_exempt:

from django.views.decorators.csrf import csrf_exempt

@csrf_exempt
def my_view(request):
    return HttpResponse('Hello world')

Bạn có thể tìm thêm các ví dụ và các tình huống khác trong tài liệu Django:

• https://docs.djangoproject.com/en/dev/ref/csrf/#edge-case

Để tắt CSRF cho các chế độ xem dựa trên lớp, cách làm sau đây phù hợp với tôi.
Sử dụng django 1.10 và python 3.5.2

from django.views.decorators.csrf import csrf_exempt
from django.utils.decorators import method_decorator

@method_decorator(csrf_exempt, name='dispatch')
class TestView(View):
    def post(self, request, *args, **kwargs):
        return HttpResponse('Hello world')

Trong setting.pyMIDDLEWARE, bạn chỉ cần xóa / nhận xét dòng này:

'django.middleware.csrf.CsrfViewMiddleware',

Đối với Django 2 :

from django.utils.deprecation import MiddlewareMixin


class DisableCSRF(MiddlewareMixin):
    def process_request(self, request):
        setattr(request, '_dont_enforce_csrf_checks', True)

Phần mềm trung gian đó phải được thêm vào settings.MIDDLEWAREkhi thích hợp (ví dụ: trong cài đặt thử nghiệm của bạn).

Lưu ý: cài đặt không được gọi MIDDLEWARE_CLASSESnữa.

Câu trả lời có thể không phù hợp, nhưng tôi hy vọng nó sẽ giúp bạn

class DisableCSRFOnDebug(object):
    def process_request(self, request):
        if settings.DEBUG:
            setattr(request, '_dont_enforce_csrf_checks', True)

Có phần mềm trung gian như thế này giúp gỡ lỗi các yêu cầu và kiểm tra csrf trong máy chủ sản xuất.

Vấn đề ở đây là SessionAuthentication thực hiện xác thực CSRF của chính nó. Đó là lý do tại sao bạn gặp lỗi thiếu CSRF ngay cả khi Phần mềm Trung gian CSRF được nhận xét. Bạn có thể thêm @csrf_exempt vào mọi chế độ xem, nhưng nếu bạn muốn tắt CSRF và xác thực phiên cho toàn bộ ứng dụng, bạn có thể thêm một phần mềm trung gian bổ sung như thế này -

class DisableCSRFMiddleware(object):

def __init__(self, get_response):
    self.get_response = get_response

def __call__(self, request):
    setattr(request, '_dont_enforce_csrf_checks', True)
    response = self.get_response(request)
    return response

Tôi đã tạo lớp này trong myapp / middle.py Sau đó nhập phần mềm trung gian này vào Phần mềm trung gian trong settings.py

MIDDLEWARE = [
    'django.middleware.common.CommonMiddleware',
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    #'django.middleware.csrf.CsrfViewMiddleware',
    'myapp.middle.DisableCSRFMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',

]

Điều đó hoạt động với DRF trên django 1.11

Nếu bạn muốn vô hiệu hóa nó trong Toàn cầu, bạn có thể viết một phần mềm trung gian tùy chỉnh, như thế này

from django.utils.deprecation import MiddlewareMixin

class DisableCsrfCheck(MiddlewareMixin):

    def process_request(self, req):
        attr = '_dont_enforce_csrf_checks'
        if not getattr(req, attr, False):
            setattr(req, attr, True)

sau đó thêm lớp này youappname.middlewarefilename.DisableCsrfCheckvào MIDDLEWARE_CLASSESdanh sách, trướcdjango.middleware.csrf.CsrfViewMiddleware

CSRF có thể được thực thi ở cấp chế độ xem, không thể tắt trên toàn cầu .

Trong một số trường hợp, đây là một điều khó khăn, nhưng ừm, "đó là để bảo mật". Gotta giữ lại những xếp hạng AAA.

https://docs.djangoproject.com/en/dev/ref/csrf/#contrib-and-reusable-apps

@WoooHaaaa một số gói của bên thứ ba sử dụng phần mềm trung gian 'django.middleware.csrf.CsrfViewMiddleware'. ví dụ: tôi sử dụng django-rest-oauth và tôi gặp vấn đề như bạn ngay cả sau khi tắt những thứ đó. có thể các gói này đã phản hồi yêu cầu của bạn như trường hợp của tôi, bởi vì bạn sử dụng trình trang trí xác thực và những thứ tương tự như thế này.